amnsecurity/CVE-2026-0257-GlobalProtect-Bypass

GitHub: amnsecurity/CVE-2026-0257-GlobalProtect-Bypass

针对 Palo Alto PAN-OS GlobalProtect 认证 Cookie 伪造漏洞(CVE-2026-0257)的 PoC 利用工具与完整技术分析。

Stars: 1 | Forks: 0

# ─── CVE-2026-0257 ─── CVSS 9.1
# 🏴 AMN SECURITY 🏴 ### 网络安全研究中心 | Cyber Security Research Center

# ⚠️ Palo Alto GlobalProtect 身份验证 Cookie 伪造漏洞 ### CVE-2026-0257 | CVSS 9.1 | 严重 ### 📋 执行摘要 **Palo Alto Networks PAN-OS** 中存在一个严重的安全漏洞,允许未经身份验证的攻击者伪造 **GlobalProtect** 中的身份验证覆盖 Cookie(Authentication Override Cookies)并建立 VPN 连接。在 2026 年 5 月 29 日监测到该漏洞在攻击中被实际利用后,它已被列入 **CISA KEV**(已知被利用漏洞目录)。 ### 🔍 漏洞详情 | 元素 | 详情 | |--------|----------| | **CVE** | CVE-2026-0257 | | **CVSS v4** | 9.1 (严重) | | **类型** | 身份验证绕过 — Cookie 伪造 | | **CISA KEV** | ✅ 已添加 (2026 年 5 月 29 日) | | **首次利用** | 2026 年 5 月 17 日 | | **产品** | Palo Alto PAN-OS / Prisma Access | #### 受影响的产品 | 产品 | 受影响版本 | |--------|-------------------| | PAN-OS 12.1 | **早于** 12.1.4-h6 | | PAN-OS 11.2 | **早于** 11.2.4-h17 | | PAN-OS 11.1 | **早于** 11.1.4-h33 | | PAN-OS 10.2 | **早于** 10.2.7-h34 | | Prisma Access 11.2 | **早于** 11.2.7-h13 | | Prisma Access 10.2 | **早于** 10.2.10-h36 | ### 💥 攻击机制 ``` GlobalProtect Gateway HTTPS Certificate │ ▼ استخراج المفتاح العام (Public Key) من شهادة TLS │ ▼ تزوير كوكيز Auth Override مشفرة بالمفتاح العام │ ▼ إرسال الكوكيز المزورة إلى /ssl-vpn/login.esp │ ▼ ✅ إذا تطابقت الشهادة ← قبول الكوكيز 🔓 وصول VPN كامل غير مُصرّح به ``` ### 🧪 工具使用 ``` # 扫描单个目标 python3 exploit_poc.py --target vpn.target.com # 使用自定义端口扫描 python3 exploit_poc.py --target vpn.target.com --port 8443 # 为特定用户伪造 Cookie python3 exploit_poc.py --target vpn.target.com --user admin # 从文件扫描多个目标 python3 exploit_poc.py --target-file targets.txt # 详细模式 python3 exploit_poc.py --target vpn.target.com --verbose ``` #### 选项 | 选项 | 描述 | 默认值 | |--------|-------|-----------| | `--target` | 目标 (IP 或 Hostname) | - | | `--target-file` | 包含目标的文件 (每行一个 ip:port) | - | | `--user` | 用户名 | admin | | `--domain` | 域名 | (空) | | `--client-os` | 操作系统 | Windows | | `--verbose` | 详细显示 | - | ### 🛡️ 缓解措施 1. **立即升级**到已修复的版本(见上表) 2. 在 GlobalProtect 设置中**禁用** Authentication Override 功能 3. **生成新的专用证书**以加密 Auth Override Cookie(不要与 HTTPS 重复使用) 4. **监控日志**以检测利用尝试 #### 攻击检测 可疑的 GlobalProtect 日志: ``` GLOBALPROTECT,0,2817,...,gateway-auth,login,Cookie,,admin,...,GP-CLIENT,...,6.0.0,,Linux,...,success ``` ### 📚 参考 - **Palo Alto 公告**: https://security.paloaltonetworks.com/CVE-2026-0257 - **Rapid7 分析**: https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os/ - **CISA KEV**: https://www.cisa.gov/known-exploited-vulnerabilities-catalog - **AMN SECURITY 研究**: GlobalProtect 身份验证绕过分析 ### 👥 AMN SECURITY 团队 | 成员 | 专长 | |-------|--------| | AMN 研究团队 | 漏洞分析 | | AMN 漏洞利用团队 | 漏洞利用开发 | | AMN 防御团队 | 缓解措施 |

# ⚠️ Palo Alto PAN-OS GlobalProtect 身份验证覆盖 Cookie 伪造 ### CVE-2026-0257 | CVSS 9.1 | 严重 ### 📋 执行摘要 **Palo Alto Networks PAN-OS** 和 **Prisma Access** 中存在一个严重的身份验证绕过漏洞,当存在特定配置时,允许远程未经身份验证的攻击者伪造 GlobalProtect 身份验证覆盖 Cookie 并建立 VPN 连接。在 2026 年 5 月 17 日首次观察到被利用后,**CISA 于 2026 年 5 月 29 日将其添加到 KEV 中**。 ### 🔍 漏洞详情 | 字段 | 值 | |-------|-------| | **CVE** | CVE-2026-0257 | | **CVSS v4** | 9.1 (严重) | | **CWE** | CWE-294: 通过捕获重放绕过身份验证 | | **CISA KEV** | ✅ 2026 年 5 月 29 日添加 | | **首次利用** | 2026 年 5 月 17 日 | | **产品** | PAN-OS / Prisma Access | #### 工作原理 该漏洞利用了 GlobalProtect 中的身份验证覆盖功能,该功能将 Cookie 作为类似 Bearer Token 的令牌颁发。该漏洞利用的运作方式如下: 1. 从 GlobalProtect 门户/网关 HTTPS 服务检索证书链 2. 遍历每个证书的公钥 3. 伪造使用每个公钥加密的身份验证覆盖 Cookie 4. 针对 `/ssl-vpn/login.esp` 测试伪造的 Cookie 5. 如果设备将 Cookie 加密证书与 HTTPS 重复使用,则伪造的 Cookie 将被接受 #### 受影响的产品 | 产品 | 受影响版本 | 已修复版本 | |---------|------------------|----------------| | PAN-OS 12.1 | < 12.1.4-h6 | >= 12.1.4-h6 | | PAN-OS 11.2 | < 11.2.4-h17 | >= 11.2.4-h17 | | PAN-OS 11.1 | < 11.1.4-h33 | >= 11.1.4-h33 | | PAN-OS 10.2 | < 10.2.7-h34 | >= 10.2.7-h34 | | Prisma Access 11.2 | < 11.2.7-h13 | >= 11.2.7-h13 | ### 🧪 使用方法 ``` # 单个目标 python3 exploit_poc.py --target vpn.target.com # 自定义端口 python3 exploit_poc.py --target vpn.target.com --port 8443 # 不同用户名 python3 exploit_poc.py --target vpn.target.com --user admin # 从文件扫描多个目标 python3 exploit_poc.py --target-file targets.txt # 详细输出 python3 exploit_poc.py --target vpn.target.com --verbose ``` ### 🛡️ 缓解措施 1. 立即**升级**到已修复的版本 2. 在 GlobalProtect 中**禁用**身份验证覆盖功能 3. 为身份验证覆盖 Cookie **生成专用证书**(不要重复使用 HTTPS 证书) 4. **监控日志**以发现可疑的基于 Cookie 的身份验证 ### 📚 参考 - **Palo Alto 公告**: https://security.paloaltonetworks.com/CVE-2026-0257 - **Rapid7 分析**: https://www.rapid7.com/blog/ - **CISA KEV**: https://www.cisa.gov/known-exploited-vulnerabilities-catalog - **AMN SECURITY**: GlobalProtect 身份验证绕过 PoC ## 关注 AMN SECURITY — تابعنا [![网站](https://img.shields.io/badge/Website-amn.amnoffsec.workers.dev-00FF00?style=for-the-badge&logo=googlechrome&logoColor=white)](https://amn.amnoffsec.workers.dev/) [![Instagram](https://img.shields.io/badge/Instagram-@ixctw-E4405F?style=for-the-badge&logo=instagram&logoColor=white)](https://www.instagram.com/ixctw) [![电子邮件](https://img.shields.io/badge/Email-ayman.mahmoudoffsec%40gmail.com-D14836?style=for-the-badge&logo=gmail&logoColor=white)](mailto:ayman.mahmoudoffsec@gmail.com) ### ⚖️ 免责声明 本工具仅用于**授权的安全测试和教育目的**。未经授权的使用是非法的。作者和 AMN SECURITY 对滥用不承担任何责任。
**🏴 AMN SECURITY** — 企业级攻击安全
标签:CISA项目, PAN-OS, PoC, 暴力破解, 漏洞分析, 路径探测, 身份认证绕过, 逆向工具